Schwerwiegende Schwachpunkte im Risikomanagement

Kein Unternehmen hat ein "perfektes" Risikomanagement; Verbesserungspotenziale können regelmäßig aufgezeigt werden. Praktische Erfahrungen und empirische Studien zeigen allerdings, dass trotz eines Testats durch die Wirtschaftsprüfungsgesellschaften oft Risikomanagementsysteme fundamentale Schwächen aufweisen. Beispielhaft zu nennen ist der Sachverhalt, dass bei vielen Unternehmen keine methodisch fundierte und korrekte Risikoaggregation durchgeführt wird, bei der eine große repräsentative Anzahl risikobedingt möglicher Zukunftsszenarien analysiert wird ("Bandbreitenplanung") [Vgl. Gleißner 2017 sowie Gleißner/Romeike 2015a]. Genau dies ist aber notwendig. Im § 91 Abs. 2 AktG – dem Kernbaustein des Kontroll- und Transparenzgesetzes (KonTraG) – wird gefordert, dass "bestandsbedrohende Entwicklungen" früh erkannt werden. Solche bestandsbedrohenden Entwicklungen sind empirisch so gut wie nie auf Einzelrisiken zurückzuführen. Bestandsbedrohende Entwicklungen resultieren im Allgemeinen aus Kombinationseffekten mehrerer Einzelrisiken. Dies erfordert eine Risikoaggregation, bei der positiv und negativ wirkende Abhängigkeiten der Risiken berücksichtigt werden. Die durchgehende Quantifizierung von Risiken und deren Aggregation wird entsprechend im IDW Prüfungsstandard 340 gefordert. Die Praxis bleibt hier zurück und Aussagen über den aggregierten Gesamtrisikoumfang und dessen Implikationen fehlen häufig (siehe Reifegrad "Initial" bzw. "Basic" in Abbildung 01).

Ebenfalls sieht man oft, dass das Risikomanagement bei der Vorbereitung wesentlicher Entscheidungen nicht involviert ist [vgl. Gleißner 2015a]. Es ist ein fataler Fehler, wenn erst nach einer Vorstandsentscheidung (beispielsweise bezogen auf eine große Investition oder Akquisition) erkennbar wird, dass sich mit den nun zusätzlichen Risiken Krisen oder gar "bestandsbedrohende Entwicklungen" ergeben können. Es ist unzureichend, nur bekannte Risiken zu überwachen und dann beispielsweise im ersten Risikoreport an den Vorstand nach einer Entscheidung aufzuzeigen, welche neuen Risiken sich nunmehr im Unternehmen befinden. Auch dies ist ein schwerwiegender, häufig festzustellender Konstruktionsfehler in der risikoorientierten Unternehmensführung. Und auch hier ist es ein klarer Verstoß gegen die Anforderung des § 91 Ab. 2 AktG, wo eine "frühe" Erkennung gefordert wird – und das heißt natürlich vor und nicht etwa nach der Entscheidung, sowie die Business Judgement Rule (BJR) (siehe § 93 Abs. 1 Satz 2 AktG), wo "angemessene Informationen" bei der Entscheidungsvorbereitung gefordert werden, was natürlich Risikoinformationen einschließt [siehe Graumann, 2014].

Abb. 01: Reifegrade im Risikomanagement [Quelle: RiskNET GmbH]

Einem fachlich kompetenten Risikomanager oder Risikocontroller ist im Allgemeinen bewusst, wenn solche oder ähnliche schwerwiegende Defizite in "seinem" Risikomanagement zu erkennen sind. Er weiß beispielsweise, dass er in wesentliche Entscheidungen nicht involviert ist. Ihm ist klar, dass er mit dem Risikoinventar oder der Risk Map lediglich eine Übersicht über Einzelrisiken hat und über die potenziell bestandsbedrohenden Kombinationseffekte wenig aussagen kann, weil keine Risikoaggregation stattfindet. Er sieht, dass im Unternehmen implizit Risiken identifiziert werden, über die er keine Informationen erhält (beispielsweise wenn im Rahmen von Planung und Budgetierung unsichere Annahmen gesetzt werden). Er würde gerne über die Planungssicherheit, den aggregierten Gesamtrisikoumfang (Eigenkapitalbedarf) oder die Wahrscheinlichkeit, Covenants zu verletzen, berichten – jedoch stehen ihm die notwendigen Hilfsmittel für die entsprechenden Berechnungen nicht zur Verfügung.

Und viele Risikomanager haben in der Praxis schon die Erfahrung gemacht, dass kritische Hinweise zu Risiken oder gar Defiziten im Risikomanagement bei den Vorgesetzten auf wenig Begeisterung stoßen [vgl. Gleißner 2015a sowie Gleißner/Romeike 2015a]. Trotz mehrmaliger Hinweise auf bestehende Defizite bestehen diese auch längerfristig fort, weil die notwendigen personellen oder methodischen Ressourcen nicht bereitgestellt werden, um bestehende Lücken zu schließen. Und diese Lücken werden leider erst genau dann aufgedeckt, wenn zum ersten Mal eine "ernsthafte" Prüfung des Risikomanagements durchgeführt wird. Dies passiert in der Regel erst dann, wenn irgendjemand infolge von Risiken oder Fehlentscheidungen durch nicht adäquate Beachtung der Risiken einen Schaden vermutet, beispielsweise Aktionäre.

Wie soll sich der Risikomanager in einer derartigen Situation verhalten? Welche persönlichen Gefahren ergeben sich für den Risikomanager durch Defizite im Risikomanagementsystem? Im Gegensatz zum Vorstand (bzw. der Geschäftsführung) als Organ, ergeben sich im Allgemeinen keine persönlichen Haftungsrisiken. Aber auch für den Risikomanager, Risikocontroller oder den Leiter Controlling, der implizit die Verantwortung eines Risikomanagers übernimmt, sind solche Defizite im Risikomanagementsystem nicht unproblematisch. Aufgrund des Arbeitsvertrags besteht nämlich seine Verpflichtung im Allgemeinen darin, sich eben adäquat um das Risikomanagement des Unternehmens zu kümmern. Sollte ein "Problem" auftreten, muss er befürchten, dass Vorstände und Geschäftsführer in diesem Fall als "teilweise Entschuldigung" darauf verweisen, dass ihnen die Tragweite der im Risikomanagementsystem vorhandenen Defizite nicht bewusst war. Vorstand und Geschäftsführer als Generalist argumentieren dann, dass man beispielsweise die Bedeutung der Risikoaggregation als Instrument zur frühzeitigen Erkennung "bestandsbedrohender Entwicklungen" so gar nicht gesehen hat. Genau für diese Expertise beschäftigt man ja einen Leiter Risikomanagement oder Risikocontroller. Das Dumme ist nun allerdings, dass vermutlich die meisten Risikomanager und Risikocontroller in einem derartigen "Problem- oder Konfliktfall" nicht belegen können, wenn sie auf die bestehenden Defizite im Risikomanagement hingewiesen haben. Derartiges kann man als fachliches Defizit oder gar arbeitsvertragliche Pflichtverletzung auffassen. Die möglichen negativen Konsequenzen sind offensichtlich.

Also was kann der Leiter Risikomanagement oder Risikocontrolling tun? Es ist zunächst notwendig sich tatsächlich ein objektives Bild der Stärken und Schwächen des Risikomanagements zu machen [vgl. beispielsweise den Prüfungskatalog bei Gleißner/Wolfrum 2015c bzw. Chrobok/Gleißner 2012]. Regelmäßig, mindestens einmal im Jahr, sollte der Risikomanager dann gegenüber der Unternehmensführung – je nach Stellung gegebenenfalls sogar gegenüber dem Aufsichtsrat – ausdrücklich auf die bestehenden Schwächen des Systems schriftlich hinweisen und den Reifegrad des Risikomanagements transparent machen.

Im Sinne einer adäquaten Sensibilisierung der Unternehmensführung (für bestehende persönliche Haftungsrisiken), der ökonomisch sinnvollen Weiterentwicklung des Risikomanagements (im Interesse der Eigentümer) und auch für das persönliche Risikomanagement gilt also: Bestehende Schwächen sollten klar und unmissverständlich schriftlich dargestellt werden. Wenn beispielsweise keine Risikoaggregation existiert, sollte schriftlich festgehalten werden, dass der Risikomanager dieses Defizit erkennt, die Behebung empfiehlt und klarstellt, dass damit eine "Früherkennung bestandsbedrohender Entwicklungen" durch die Kombination mehrerer Einzelrisiken nicht möglich ist.

Persönliches Risikomanagement des Risikomanagements bedeutet also – auch wenn dies unpopulär ist – bestehende Schwächen klar und deutlich auszusprechen, selbst dann, wenn die Unternehmensführung diese nicht beseitigen will.

Quellenverzeichnis sowie weiterführende Literaturhinweise:

• Chrobok, S./Gleißner, W. (2012): Risk Intelligence – Indikator für die Zukunftsorientierung des Controllings, in: Controller Magazin, September/Oktober 2012, S. 70–71.
• Gleißner, W. (2015a): Controlling und Risikoanalyse bei der Vorbereitung von Top-Management-Entscheidungen – Von der Optimierung der Risikobewältigungsmaßnahmen zur  Beurteilung des Ertrag-Risiko-Profils aller Maßnahmen, in: Controller Magazin, 4/2015, S. 4–12.
• Gleißner, W. (2015b): Der Vorstand und sein Risikomanager, uvk Konstanz.
• Gleißner, W. (2017): Grundlagen des Risikomanagements, 3. Aufl., Vahlen Verlag München.
• Gleißner, W./Romeike, F. (2005): Anforderungen an die Softwareunterstützung für das Risikomanagement, in: ZfCM – Zeitschrift für Controlling & Management, 2/2005, S. 154–164.
• Gleißner, W./Romeike, F. (2015b): Vom antiken Orakel zur modernen Strategie, in: schweitzerforum, 2/2015, S. 20–23.
• Gleißner, W./Wolfrum, M. (2015a): Problemfelder der Risikoquantifizierung, Datenprobleme und Lösungsstrategien, in: Gleißner, W./Romeike, F. (Hrsg.): Praxishandbuch Risikomanagement, ESV Berlin, S. 274–263.
• Gleißner, W./Wolfrum, M. (2015b): Risikoaggregation und die Berechnung des Gesamtrisikoumfangs eines Unternehmens, in: Gleißner, W./Romeike, F. (Hrsg.): Praxishandbuch Risikomanagement, ESV Berlin, S. 207–225.
• Gleißner, W./Wolfrum, M. (2015c): Prüfung von Risikomanagement-Systemen - Benchmarking mit Risikomanagement-Score, in: RISIKO MANAGER, 12/2015, S. 1, 7–12.
• Graumann, M. (2014): Die angemessene Informationsgrundlage bei Entscheidung, in: WISU, Heft 3/2014, S. 317–320.
• Romeike, F. (2007): Rechtliche Grundlagen des Risikomanagements, ESV Berlin.
• Romeike, F./Gleißner, W. (2015a): Mut als Grundanforderung: Riskieren Risikomanager das Schicksal der Kassandra?, in: RiskNET, 29.10.15, Link
• Romeike, F./Hager, P. (2013): Erfolgsfaktor Risikomanagement 3.0: Lessons learned, Methoden, Checklisten und Implementierung, Springer Verlag, Wiesbaden.